Wenn Sie eine Datei löschen von Ihrer Festplatte des Computers, es ist nie wirklich Weg. Mit genug Aufwand und technischem Geschick, ist es oft möglich, wiederherstellen von Dokumenten und Fotos gedacht ausgelöscht. Diese computer-Forensik sind ein nützliches Instrument für die Strafverfolgung, aber wie funktionieren Sie wirklich?
Einstellung die Gesetzliche Grundlage
Bevor wir in die technischen Unkraut, es lohnt sich zu diskutieren, die langweilig verfahrenstechnische und rechtliche Aspekte der it-Forensik im Rahmen der Strafverfolgung.
Erste, lassen Sie uns zu zerstreuen, die mit dem alten Mythos, dass ein Haftbefehl ist immer Voraussetzung für ein Vollzugsbeamter zu prüfen, ein digitales Gerät wie ein Telefon oder einen computer. Während das ist oft der Fall, viele “Schlupflöcher” (for Lack of a better word) können gefunden werden in das Gewebe des Gesetzes.
In vielen Ländern, wie dem Vereinigten Königreich und den Vereinigten Staaten, eine Genehmigung der Zoll-und Einwanderungsbehörde zu prüfen elektronische Geräte ohne einen Haftbefehl. Amerikanischen Grenze Offiziere können auch überprüfen Sie den Inhalt der Geräte, die ohne Haftbefehl, wenn es eine drohende thread, dass Beweise vernichtet werden, wie bestätigt durch eine 11th Circuit das Urteil von 2018.
Im Vergleich zu Ihren amerikanischen Kollegen, der britische Polizisten haben oft mehr Spielraum zu nutzen, die Inhalte der Geräte, ohne Ihren Fall einem Richter oder Magistrat. Sie können, zum Beispiel, laden Sie die Inhalte des Telefons, indem Sie ein Stück der Gesetzgebung genannt, die Polizei und Straf Evidence Act (PACE), unabhängig davon, ob keine Anklage erhoben. Allerdings, wenn die Polizei letztendlich entscheiden, Sie möchten zu prüfen die Inhalte, die Sie benötigen, sign-off der Gerichte.
Die Gesetzgebung gibt auch britische Polizei das Recht, zu untersuchen, Geräte ohne Haftbefehl unter bestimmten Umständen, wo es eine dringende Notwendigkeit—wie in einem Terrorismus-Fall, oder wo gibt es eine echte Angst, dass ein Kind sexuell ausgebeutet.
Aber letztlich, unabhängig von dem “wie”, wenn ein computer beschlagnahmt wird, es repräsentiert lediglich den Beginn einer langen Prozess, der beginnt mit einem laptop oder Handy entfernt wird in einem manipulationssicheren Plastikbeutel, und oft endet mit dem Beweis wird präsentiert in einem Gerichtssaal.
Die Polizei muss sich an eine Reihe von Regeln und Verfahren zur Gewährleistung der Zulässigkeit von Beweismitteln. Computer-Forensik-teams dokumentieren Ihre jede Bewegung, so dass, wenn nötig, können Sie wiederholen Sie die gleichen Schritte und die gleichen Ergebnisse erzielen. Sie verwenden spezielle tools, um die Integrität von Dateien. Ein Beispiel ist ein “write-blocker”, die ist so konzipiert, dass forensische Experten, um Informationen zu extrahieren ohne dabei versehentlich geändert wird, die Beweise geprüft.
Es ist die rechtliche Grundlage und verfahrenstechnische strenge, die bestimmt, ob ein computer-Forensik-Ermittlungen erfolgreich sein werden—nicht technischer Raffinesse.
Bewegliche Platten, Bewegende Fälle
Rechtliche Probleme ungeachtet, ist es immer interessant zu wissen, dass viele Faktoren, die bestimmen können, die Leichtigkeit, in dem gelöschte Dateien wiederhergestellt werden können, durch die Strafverfolgungsbehörden. Hierzu gehören die Art der Festplatte verwendet wird, ob eine Verschlüsselung vorhanden war, und das Dateisystem des Laufwerks.
Nehmen Sie die Festplatten, zum Beispiel. Obwohl diese wurden weitgehend übertroffen durch schnellere solid-state-Laufwerke (SSDs), die mechanische Festplatten (HDDs) waren die vorherrschende storage-Mechanismus wird seit über 30 Jahren.
HDDs verwendet, magnetischen Platten, um Daten zu speichern. Wenn Sie jemals zerlegt Festplatte, die Sie haben wahrscheinlich beobachtet, wie Sie sehen ein bisschen aus wie CDs. Sie sind kreisförmig und in Farbe Silber.
Wenn in Gebrauch, diese Platten drehen sich mit unglaublichen Geschwindigkeiten—in der Regel entweder 5.400 oder 7.200 U / MIN, und in einigen Fällen, so schnell als 15.000 U / MIN. Angeschlossen an diese Platten sind spezielle “Köpfe”, die die Ausführung von lese-und schreib-Operationen. Wenn Sie eine Datei speichern, um das Laufwerk, das “Kopf” bewegt sich zu einem bestimmten Teil der Platte und wandelt den elektrischen Strom in ein magnetisches Feld, dadurch ändern sich die Eigenschaften der Platte.
Wie ist es aber, zu wissen, wo? Gut, es sieht etwas nennt man Zuteilung Tabelle, enthält einen Eintrag für jede Datei gespeichert auf einem Datenträger. Aber was passiert, wenn eine Datei gelöscht wird?
Die kurze Antwort? Nicht viel.
Hier ist die lange Antwort: Der Datensatz für die Datei gelöscht wird, so dass die von ihm belegten Platz auf der Festplatte überschrieben werden später. Allerdings befinden sich die Daten noch physisch auf dem magnetischen Platten und immer nur wirklich gelöscht, wenn neue Daten Hinzugefügt werden, dass insbesondere die Lage auf dem Plattenteller.
Nachdem alle löschen, wird es erfordern würde, um den magnetischen Kopf zu bewegen, um den jeweiligen Ort auf der Platte, und überschreiben Sie ihn. Das könnte behindern, auf andere Anwendungen und verlangsamen die Leistung des Computers. Soweit Festplatten betroffen sind, ist es einfacher, einfach so tun, gelöschte Dateien einfach nicht existieren.
Das macht die Wiederherstellung gelöschter Dateien viel einfacher für die Strafverfolgung. Sie müssen nur zu erstellen, die fehlenden Teile innerhalb der allocation table, das ist etwas, das getan werden kann, mit kostenlosen tools, einschließlich Recuva.
VERWANDTE: Wie man Wiederherstellen eines Gelöschten Datei: Der Ultimative Guide
Solid (Zustand) wie ein Fels
Natürlich sind SSDs anders. Sie enthalten keine beweglichen Teile. Stattdessen werden die Dateien dargestellt, die als Elektronen statt, die durch Billionen von mikroskopischen floating-gate-transistoren. Kollektiv, diese kombinieren, um NAND-flash-chips.
SSDs tragen einige ähnlichkeiten zu HDDs, soweit die Dateien sind immer nur dann gelöscht, wenn Sie überschrieben. Jedoch einige wichtige Unterschiede, die zwangsläufig erschweren die Arbeit der computer-Forensik-Profis. Und wie HDDs, SSDs organisieren der Daten in Blöcke mit der Größe unterschiedlichen Wild zwischen den Herstellern.
Der wesentliche Unterschied ist hier, dass für eine SSD um Daten zu schreiben, wird der block komplett leer sein Inhalt. Um sicherzustellen, dass die SSD hat einen Konstanten Strom von verfügbaren Blöcke, die computer-Probleme etwas namens “TRIM-Befehl”, das teilt der SSD mit, welche Blöcke nicht mehr benötigt werden.
Für die Ermittler, es bedeutet, dass, wenn Sie versuchen, finden Sie gelöschte Dateien auf einer SSD, die Sie finden können, dass das Laufwerk unschuldig legte Sie weit über Ihrer Reichweite.
SSDs können auch scatter-Dateien in mehreren Blöcken über das Laufwerk zu reduzieren die Menge von Abnutzung und Verschleiß entstehen durch Tag-zu-Tag verwenden. Da SSDs kann nur standhalten eine begrenzte Anzahl von Schreibzugriffen, es ist wichtig Sie sind, verteilt auf der Festplatte, statt in einem kleinen Ort. Diese Technologie nennt sich wear leveling, und hat gewesen bekannt zu machen das Leben hart für digital-Forensik-Profis.
Dann gibt es die Tatsache, dass die SSDs sind oft schwerer zu Bild, weil Sie oft körperlich nicht entfernen Sie Sie aus dem Gerät.
In der Erwägung, dass Festplatten sind fast immer austauschbar und Anschluss über standard Schnittstellen wie IDE oder SATA, einige laptop-Hersteller wählen, um körperlich lot Lagerung der Maschine motherboard. Es macht extrahieren Sie den Inhalt in ein forensically sound Weg viel schwieriger für law enforcement-Profis.
Die Wirklichen Komplikationen
So, zum Schluss: ja, Strafverfolgungsbehörden können abrufen von Dateien, die Sie gelöscht haben. Allerdings, Fortschritte in der storage-Technologie und der weit verbreiteten Verschlüsselungs-kompliziert sind die Fragen etwas.
Doch technische Probleme können oft überwunden werden. Wenn es um digitale Untersuchungen, die größte Herausforderung für die Strafverfolgung ist nicht die Mechanismen von SSD-Laufwerken, sondern vielmehr der Mangel an Ressourcen.
Es gibt nicht genügend ausgebildete Fachkräfte, um die Arbeit zu tun. Und das Ergebnis ist, viele Polizei-Kräfte auf der ganzen Welt sind konfrontiert mit einer vernichtenden Rückstand unbearbeiteter Handys, laptops und Servern.
Ein Freedom of Information act-Anfrage von der britischen Zeitung The Times ergab, dass der 32 Polizeikräfte in England und Wales haben über 12.000 Geräte noch Prüfung. Zeit-ein Gerät, es variiert von einem Monat bis zu über einem Jahr.
Und das hat Folgen. Das Fundament jeder Gerechten Strafjustiz ist, dass die Angeklagten gewährt einen schnellen Prozess. Wie das Sprichwort sagt, aufgeschobene Gerechtigkeit bedeutet verweigerte Gerechtigkeit. Dieses Prinzip ist so grundlegend wichtig, es ist auch dargestellt in der Sechsten Änderung der US-Verfassung.
Leider, es ist nicht ein problem, das leicht reparierbar, ohne mehr Geld ausgegeben wird, indem Kräfte, die auf die Rekrutierung und Ausbildung. Sie können es nicht lösen, mit noch mehr Technologie.
LESEN SIE WEITER
- › Können Strafverfolgungsbehörden, die Wirklich Wiederherstellen von Dateien, die Sie Gelöscht haben?
- › Wie zu Erinnern, eine E-Mail in Gmail
- › iMac, Mini und Pro: apples Desktop-Macs im Vergleich
- › Wie um sich zu Verstecken, Unlist, oder Löschen Sie ein YouTube-Video aus dem Web
- › Déjà-Vu: Eine Kurze Geschichte von Jeder Mac-CPU-Architektur